Leitfaden

Der EU AI Act und Ihr Dokumentenmanagement-System

Ein praktischer Leitfaden, der Funktion für Funktion erklärt, was der EU AI Act für DMS mit AI bedeutet \u2014 von OCR über Auto-Tagging bis hin zu Chatbots.

Zuletzt aktualisiert: April 2026

Die kurze Antwort

→ Die meisten AI-Funktionen in einem DMS \u2014 OCR, Auto-Klassifizierung, Metadaten-Extraktion, Suche \u2014 fallen unter das minimale Risiko und bringen keine spezifischen Verpflichtungen außer AI-Kompetenzschulungen mit sich.
→ Wenn Ihr DMS über einen AI-Chatbot verfügt oder Texte generiert (Zusammenfassungen, Übersetzungen), gelten diese Funktionen als begrenztes Risiko und erfordern bis zum 2. August 2026 eine Transparenzkennzeichnung.
Fazit: Der EU AI Act ist nicht so beängstigend, wie die Schlagzeilen vermuten lassen \u2014 aber die Frist am 2. August ist real, und Artikel 4 (AI-Kompetenz) gilt bereits seit Februar 2025. Lesen Sie weiter für die vollständige Analyse.

Was passiert am 2. August 2026?

Der EU AI Act (Verordnung 2024/1689) trat am 1. August 2024 in Kraft, aber seine Verpflichtungen werden schrittweise eingeführt. Die größte Welle der Durchsetzung erfolgt am 2. August 2026 \u2014 dann werden Transparenzpflichten für Systeme mit begrenztem Risiko, das vollständige Compliance-Regime für Hochrisikosysteme, Betreiberpflichten und die Durchsetzung von Bußgeldern gleichzeitig anwendbar.

Wenn Sie ein Dokumentenmanagement-System mit AI-Funktionen in der EU betreiben oder nutzen, ist dieser Zeitplan wichtig. Einige Verpflichtungen gelten bereits. Andere kommen in Monaten, nicht in Jahren.

Datum	Was gilt	Status
1. Aug. 2024	AI Act tritt in Kraft (Verordnung EU 2024/1689 im Amtsblatt veröffentlicht)	Erledigt
2. Feb. 2025	Verbotene Praktiken gemäß Artikel 5 untersagt \u2014 Artikel 4 (AI-Kompetenz) gilt für alle Anbieter und Betreiber	In Kraft
2. Aug. 2025	Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck (Art. 51\u201356) \u2014 gilt für Anbieter von Basismodellen wie OpenAI, Google, Anthropic	In Kraft
2. Aug. 2026	Transparenzpflichten gemäß Artikel 50, Anforderungen für Hochrisikosysteme aus Anhang III (Art. 8\u201315), Betreiberpflichten (Art. 26), EU-Datenbankregistrierung, Durchsetzungsbefugnisse und Bußgelder	Noch 97 Tage
2. Aug. 2026	Transparenz: Alle AI-Chatbots müssen ihre AI-Natur offenlegen; alle AI-generierten Inhalte müssen maschinenlesbare Kennzeichnungen tragen	Frist
2. Aug. 2027	Hochrisikosysteme gemäß Anhang I \u2014 AI, die in regulierte Produkte eingebettet ist (Medizinprodukte, Fahrzeuge, Maschinen)	Anstehend

Der Digital Omnibus Act, der sich derzeit in Trilog-Verhandlungen befindet, könnte die Fristen für Hochrisikosysteme (Anhang III) auf Dezember 2027 verschieben. Die Transparenzpflichten nach Artikel 50 und die AI-Kompetenzanforderung nach Artikel 4 sind jedoch von einer vorgeschlagenen Verzögerung nicht betroffen. Planen Sie für den 2. August 2026.

Die vier Risikostufen erklärt

Der EU AI Act klassifiziert AI-Systeme basierend auf dem potenziellen Schaden in vier Stufen. Je höher das Risiko, desto strenger die Auflagen. Für das Dokumentenmanagement ist das Verständnis dieser Stufen entscheidend \u2014 denn die Stufe bestimmt, ob Sie nichts tun müssen, ein Kennzeichnungsetikett hinzufügen oder eine vollständige Konformitätsbewertung durchlaufen müssen.

Die überwiegende Mehrheit der AI-Funktionen in Dokumentenmanagement-Software \u2014 OCR, Auto-Klassifizierung, Metadaten-Extraktion, Volltextsuche \u2014 fällt eindeutig in die Kategorie des minimalen Risikos. Es handelt sich um eng gefasste prozedurale Aufgaben, die keine Entscheidungen über Menschen treffen. Der nächste Abschnitt schlüsselt dies Funktion für Funktion auf.

Risikostufe	Was hierunter fällt	Verpflichtungen	Max. Bußgeld
Unannehmbar	Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Identifizierung in öffentlichen Räumen, Emotionserkennung am Arbeitsplatz	Vollständig verboten (Art. 5)	35 Mio. \u20AC / 7%
Hochrisiko	AI in Biometrie, kritischer Infrastruktur, Beschäftigung, Kredit-Scoring, Bildung, Strafverfolgung, Migration	Vollständige Compliance: Risikomanagement, Data Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Konformitätsbewertung, CE-Kennzeichnung (Art. 8\u201315)	15 Mio. \u20AC / 3%
Begrenztes Risiko	AI-Chatbots, AI-generierte Inhalte (Text, Bilder, Audio, Video), Emotionserkennung, Deepfakes	Nur Transparenz: AI-Natur gegenüber Nutzern offenlegen, AI-generierte Inhalte maschinenlesbar kennzeichnen (Art. 50)	15 Mio. \u20AC / 3%
Minimales Risiko	Spam-Filter, AI in Videospielen, Suchranking, OCR, Auto-Klassifizierung, die meiste Unternehmenssoftware	Keine zwingenden Verpflichtungen \u2014 nur Art. 4 AI-Kompetenz (gilt für alle Stufen). Freiwillige Verhaltenskodizes werden empfohlen	7,5 Mio. \u20AC / 1%

Eine wichtige Nuance: Die Risikoklassifizierung hängt davon ab, was die AI tut, nicht wer sie baut. Ein 3-Personen-Startup und ein Fortune-500-Unternehmen stehen vor denselben Verpflichtungen für dasselbe AI-System. Das Gesetz reguliert die Technologie, nicht die Organisation.

Wo ordnet sich Ihr DMS ein? Klassifizierung nach Funktionen

Hier greifen die meisten Leitfäden zum EU AI Act zu kurz. Sie erklären die Risikostufen abstrakt, ordnen aber nie spezifische Softwarefunktionen den Stufen zu. Wenn Sie ein Dokumentenmanagement-System mit AI betreiben, erfahren Sie hier genau, wo jede Funktion landet.

Die folgende Klassifizierung geht von einer allgemeinen Verwaltung von Geschäftsdokumenten aus – Rechnungen, Verträge, Belege, Korrespondenz, Versicherungspolicen. Wenn Ihr DMS in einem Hochrisikobereich eingesetzt wird (Rekrutierung, Kreditentscheidungen, medizinische Triage), kann sich die Einstufung nach oben verschieben. Der Kontext ist entscheidend.

DMS-Funktion	Risikostufe	Was Sie tun müssen
OCR (Textextraktion aus Scans)	Minimal	Keine spezifischen Verpflichtungen. OCR ist ein Hilfsmittel zur Texterkennung – es trifft keine Entscheidungen über Personen.
Automatische Klassifizierung (Rechnung, Vertrag, Beleg)	Minimal	Keine spezifischen Verpflichtungen. Die Mustererkennung für die Ablage ist eine „begrenzte Verfahrensaufgabe“ gemäß Art. 6(3)(a) – sie fällt in keine Kategorie von Anhang III.
Metadaten-Extraktion (Daten, Beträge, Einheiten)	Minimal	Keine spezifischen Verpflichtungen. Das Extrahieren strukturierter Daten aus Dokumenten ist eine vorbereitende Verarbeitung, kein Entscheidungsfindungssystem.
AI-Chatbot (Fragen zum Dokument, Dokumente finden)	Begrenzt	Art. 50(1): Nutzer müssen vor oder zu Beginn der Interaktion informiert werden, dass sie mit einer AI interagieren. Ein sichtbares Label wie „AI-Assistent“ oder ein Funkeln-Icon mit Hinweistext ist hierfür ausreichend.
AI-generierte Zusammenfassungen und Texte	Begrenzt	Art. 50(2): Synthetische Texte müssen in einem maschinenlesbaren Format als AI-generiert gekennzeichnet werden. Ausnahme: „unterstützende Funktion für Standardbearbeitung“, die die Semantik der Eingabe nicht wesentlich verändert.
AI-Dokumentübersetzung	Begrenzt	Art. 50(2): Die übersetzte Ausgabe ist AI-generierter Text. Kennzeichnen Sie ihn als solchen mit maschinenlesbaren Metadaten – es sei denn, die Ausgabe folgt eng dem Quellmaterial (Ausnahme für unterstützende Bearbeitung).
AI-gesteuerte Beschäftigungs- oder Kreditentscheidungen	Hohes Risiko	Vollständige Einhaltung der Art. 8–15: Risikomanagementsystem, Daten-Governance, technische Dokumentation, automatische Protokollierung, menschliche Aufsicht, Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank.

Der entscheidende rechtliche Mechanismus, der die meisten DMS-Funktionen aus dem Hochrisikobereich heraushält, ist Artikel 6(3). Er sieht ausdrückliche Ausnahmen für AI-Systeme vor, die „begrenzte Verfahrensaufgaben“ (6(3)(a)), Aufgaben zur „Verbesserung des Ergebnisses einer zuvor abgeschlossenen menschlichen Tätigkeit“ (6(3)(b)) oder „vorbereitende Aufgaben für eine Bewertung, die für die in Anhang III aufgeführten Anwendungsfälle relevant ist“ (6(3)(d)) erfüllen. Eine automatische Klassifizierung, die Rechnungen in Kategorien sortiert, ist eine begrenzte Verfahrensaufgabe. Die Metadaten-Extraktion, die Daten und Beträge aus Verträgen zieht, ist eine vorbereitende Aufgabe. Beides beeinflusst eine Entscheidung über eine Person nicht wesentlich.

Aber: Wenn die automatische Klassifizierung Ihres DMS dazu verwendet wird, Bewerbungen für einen Rekrutierungsprozess zu sortieren oder Versicherungsansprüche zur Genehmigung oder Ablehnung weiterzuleiten, könnte dieselbe Funktion als Hochrisiko eingestuft werden – da der Kontext sie in einen Bereich von Anhang III verschiebt (Beschäftigung oder Zugang zu wesentlichen Dienstleistungen). Nicht die Funktion selbst bestimmt die Risikostufe, sondern der Anwendungsfall.

Artikel 50: Die Transparenzpflichten für Ihren AI-Chatbot

Wenn Ihr Dokumentenmanagementsystem einen AI-Chatbot, eine Zusammenfassungsfunktion oder eine andere Form von AI-generiertem Text enthält, findet Artikel 50 Anwendung. Dies ist die relevanteste Verpflichtung für die meisten DMS-Produkte – und sie wird am 2. August 2026 durchsetzbar.

Artikel 50 umfasst drei Unterverpflichtungen, die für das Dokumentenmanagement von Bedeutung sind:

Art. 50(1)

Offenlegung der AI-Interaktion

Jedes AI-System, das für die Interaktion mit Menschen konzipiert ist, muss diese darüber informieren, dass es sich um eine AI handelt – vor oder zu Beginn der Interaktion. Nicht versteckt in den Nutzungsbedingungen, sondern am Kontaktpunkt. Ausnahme: wenn es „aus den Umständen offensichtlich“ ist – eine Hürde, die schwer zu nehmen ist.

Art. 50(2)

Kennzeichnung von AI-generierten Inhalten

Synthetische Texte, Audioaufnahmen, Bilder oder Videos müssen in einem maschinenlesbaren Format als AI-generiert gekennzeichnet werden (C2PA-Metadaten, Wasserzeichen o. Ä.). Die Kennzeichnung muss wirksam, interoperabel, robust und zuverlässig sein. Ausnahme: unterstützende Bearbeitung, die die Eingabe nicht wesentlich verändert.

Art. 50(4)

Offenlegung von Deepfakes / AI-Texten

AI-generierte Inhalte, die für die Öffentlichkeit publiziert werden, müssen sichtbar gekennzeichnet sein. Betreiber müssen maschinenlesbare Markierungen von Anbietern beibehalten und zum Zeitpunkt der Veröffentlichung sichtbare Labels hinzufügen.

Für ein DMS sind die praktischen Auswirkungen überschaubar. Wenn Ihr System über eine AI-Chat-Funktion verfügt, zeigen Sie einen klaren Hinweis an, dass der Nutzer mit einer AI interagiert – ein Label, ein Funkeln-Icon oder ein ähnliches visuelles Signal. Wenn Ihr System Zusammenfassungen, Übersetzungen oder Erklärungen generiert, kennzeichnen Sie diese in der Benutzeroberfläche und idealerweise in den Dokumenten-Metadaten als AI-generiert. Dies sind keine belastenden Anforderungen. Die meisten modernen DMS-Produkte mit AI-Funktionen tun dies bereits oder können es innerhalb weniger Stunden implementieren.

Die Unterscheidung zwischen Anbieter (Provider) und Betreiber (Deployer) ist wichtig. Der AI Act legt dem Anbieter (dem Unternehmen, das die Software entwickelt) die Pflicht auf, Transparenzfunktionen zu entwerfen, und dem Betreiber (dem Unternehmen, das die Software nutzt) die Pflicht, diese zu konfigurieren und anzuzeigen. Wenn Sie ein SaaS-DMS-Anbieter sind, sind Sie der Provider – Sie müssen den Offenlegungsmechanismus in Ihr Produkt einbauen. Wenn Sie ein Unternehmen sind, das ein DMS nutzt, sind Sie der Betreiber – Sie müssen sicherstellen, dass die Offenlegung für Ihre Nutzer sichtbar ist.

Artikel 4: AI-Kompetenz ist bereits erforderlich

Dies ist die Verpflichtung, die die meisten Organisationen übersehen haben. Artikel 4 verpflichtet alle Anbieter und Betreiber von AI-Systemen – unabhängig von der Risikostufe –, ein „ausreichendes Maß an AI-Kompetenz“ (AI Literacy) bei Mitarbeitern und allen Personen sicherzustellen, die AI in ihrem Auftrag bedienen. Diese Regelung ist seit dem 2. Februar 2025 in Kraft.

Bereits seit dem 2. Februar 2025 in Kraft

Artikel 4 gilt für jedes Unternehmen, das AI einsetzt – einschließlich Ihres Dokumentenmanagementsystems. Wenn Sie noch nicht mit Schulungen zur AI-Kompetenz begonnen haben, sind Sie bereits im Verzug. Es ist keine Zertifizierung erforderlich, aber die Schulung muss dokumentiert und im Falle einer Prüfung nachweisbar sein.

Was bedeutet „AI-Kompetenz“ eigentlich? Die Leitlinien der EU-Kommission stellen klar, dass es nicht ausreicht, das Personal einfach auf das Benutzerhandbuch des AI-Systems zu verweisen. Ein konformes Programm sollte Folgendes abdecken:

1.Was AI ist und wie sie funktioniert – angepasst an die Zielgruppe (Führungskräfte, Ingenieure und Endanwender benötigen unterschiedliche Detailtiefen)
2.Fähigkeiten und Grenzen der spezifischen AI-Systeme, die Ihr Unternehmen einsetzt
3.Risiken wie Voreingenommenheit (Bias), Fehler, Halluzinationen und Auswirkungen auf den Datenschutz
4.Verantwortlichkeiten bei der menschlichen Aufsicht – was zu tun ist, wenn die AI unerwartete, falsche oder schädliche Ergebnisse liefert
5.Die Relevanz des EU AI Act für die spezifische Rolle der Person
6.Dokumentation: Eine schriftliche Richtlinie zur AI-Kompetenz mit Geltungsbereich, Rollen, Inhaltsbereichen, Teilnahmenachweisen und einem Überprüfungszyklus

Für ein kleines Team, das ein DMS mit AI nutzt, ist kein formelles Schulungsprogramm erforderlich. Es kann so einfach sein wie ein dokumentiertes internes Meeting, in dem besprochen wird: Welche AI-Funktionen gibt es in unseren Tools, was können sie (und was nicht) und was tun wir, wenn Ergebnisse falsch erscheinen. Dokumentieren Sie die Sitzung, notieren Sie die Teilnehmer und planen Sie eine jährliche Auffrischung. Das reicht für die meisten Szenarien mit minimalem oder begrenztem Risiko aus.

Der Digital Omnibus Act: Werden sich die Fristen ändern?

Am 19. November 2025 schlug die Europäische Kommission den Digital Omnibus Act vor – ein Paket zur legislativen Vereinfachung, das den AI Act zusammen mit anderen digitalen Verordnungen (DSGVO, Data Act, NIS 2) ändert. Unter anderem wird vorgeschlagen, die Frist für Hochrisiko-Systeme nach Anhang III vom 2. August 2026 auf den 2. Dezember 2027 zu verschieben.

Stand April 2026 befindet sich der Omnibus in Trilog-Verhandlungen. Das Europäische Parlament hat seine Position im März 2026 mit 569 zu 45 Stimmen angenommen. Auch der Rat hat sein Mandat im März verabschiedet. Es wurde jedoch noch nicht als Gesetz verabschiedet. Die ursprünglichen Daten bleiben rechtlich bindend.

NICHT vom Omnibus betroffen – weiterhin 2. August 2026

×Artikel 50 Transparenzpflichten (Chatbot-Offenlegung, Inhaltskennzeichnung)
×Artikel 4 AI-Kompetenz (bereits seit Feb. 2025 in Kraft)
×Artikel 5 Verbotene Praktiken (bereits seit Feb. 2025 in Kraft)
×Verpflichtungen für GPAI-Modelle (in Kraft seit Aug. 2025)

Könnte verschoben werden, FALLS der Omnibus verabschiedet wird

✓Verpflichtungen für Hochrisiko-Systeme nach Anhang III (Art. 8–15) – vorgeschlagene Verschiebung auf Dez. 2027
✓In Produkte eingebettete Hochrisiko-Systeme nach Anhang I – vorgeschlagene Verschiebung auf Aug. 2028

Der praktische Rat: Nutzen Sie den Omnibus nicht als Vorwand für Verzögerungen. Selbst wenn sich die Fristen für Hochrisiko-Systeme verschieben, bleibt die Governance-Arbeit – AI-Inventar, Risikoklassifizierung, Dokumentation, Protokollierung, Aufsichtsplanung – identisch. Und die Verpflichtungen, die für DMS-Produkte am wichtigsten sind (Transparenz und Kompetenz), sind nicht betroffen. Bereiten Sie sich jetzt vor, dann wird eine potenzielle Verzögerung zur Pufferzeit statt zur verlorenen Zeit.

Was diesen Monat zu tun ist: Eine praktische Checkliste

Egal, ob Sie ein Dokumentenmanagementsystem mit AI-Funktionen entwickeln, verkaufen oder nutzen – hier ist, was Sie vor dem 2. August 2026 tun sollten. Die Schritte sind nach Dringlichkeit sortiert – beginnen Sie oben.

AI-Kompetenz jetzt angehen (bereits überfällig)

Artikel 4 ist seit Februar 2025 in Kraft. Führen Sie eine interne Sitzung zu den AI-Tools durch, die Ihr Team nutzt. Dokumentieren Sie die Inhalte, die Teilnehmer und das Datum. Dies kann ein 90-minütiges Meeting sein – kein mehrwöchiger Kurs. Planen Sie eine jährliche Auffrischung.

Inventarisieren Sie Ihre AI-Funktionen

Listen Sie jede AI-gestützte Funktion in Ihrem Software-Stack auf: OCR, automatische Klassifizierung, Chatbot, Zusammenfassung, Übersetzung, Empfehlungs-Engine. Notieren Sie für jede Funktion, ob sie direkt mit Nutzern interagiert und ob sie Inhalte generiert.

Klassifizieren Sie jede Funktion nach Risikostufe

Nutzen Sie die Tabelle in Abschnitt 3 dieses Leitfadens. Ordnen Sie jede AI-Funktion einer Risikostufe zu. Dokumentieren Sie Ihre Begründung – dies ist der Nachweis, den ein Prüfer verlangen würde. Die meisten DMS-Funktionen fallen unter minimales oder begrenztes Risiko.

Transparenzkennzeichnung implementieren

Für jede Funktion mit begrenztem Risiko (Chatbot, Textgenerierung): Fügen Sie eine sichtbare AI-Offenlegung am Interaktionspunkt hinzu. Für AI-generierte Texte: Fügen Sie maschinenlesbare Metadaten hinzu, die sie als synthetisch kennzeichnen. Testen Sie, ob die Offenlegungen bei der ersten Interaktion sichtbar sind – nicht versteckt in den Einstellungen.

Prüfen Sie Ihr Audit-Protokoll

Obwohl für Systeme mit minimalem Risiko nicht obligatorisch, ist das Führen von Protokollen über AI-generierte Ausgaben, Nutzerkorrekturen und Systementscheidungen eine gute Praxis. Wenn Ihr DMS bereits über ein Audit-Protokoll verfügt (was die meisten tun), stellen Sie sicher, dass es auch AI-Aktionen abdeckt – nicht nur den Dokumentenzugriff.

Alles dokumentieren

Erstellen Sie einen einfachen Compliance-Nachweis: Ihr AI-Inventar, die Risikoklassifizierung, Nachweise über Schulungen zur AI-Kompetenz und die Umsetzung der Transparenzpflichten. Dieses Dokument muss nicht umfangreich sein – eine 2-3-seitige interne Zusammenfassung reicht für die meisten KMU mit Systemen mit minimalem/begrenztem Risiko aus.

KMU-Realitätscheck: Was ein kleines Team tatsächlich tun muss

Im EU AI Act gibt es keine Ausnahme für kleine Unternehmen. Ein 3-Personen-Startup hat für dasselbe AI-System dieselben Verpflichtungen wie ein Fortune-500-Unternehmen. Das Gesetz reguliert, was die AI tut, nicht wer sie betreibt.

Dennoch ist der AI Act nicht blind für die Realität von KMU. Mehrere Bestimmungen kommen kleineren Unternehmen entgegen – reduzierte Bußgelder, vereinfachte Dokumentation, vorrangiger Zugang zu Reallaboren und reduzierte Gebühren für Konformitätsbewertungen.

Hier ist, was der EU AI Act speziell für kleine und mittlere Unternehmen bietet:

Bestimmung	Bedeutung für KMU
Art. 99(6) — Bußgeldobergrenzen	Für KMU gilt die niedrigere der beiden Strafalternativen. Verbotene Praktiken: begrenzt auf 35 Mio. € (statt 7 % des Umsatzes). Hochrisiko: begrenzt auf 15 Mio. € (statt 3 %). Das bedeutet, dass ein kleines Unternehmen nie einen Prozentsatz des Umsatzes zahlen muss, wenn die feste Obergrenze niedriger ist.
Art. 63 — Vereinfachtes QMS	Kleinstunternehmen (< 10 Mitarbeiter, < 2 Mio. € Umsatz) können Teile des Qualitätsmanagementsystems in vereinfachter Form erfüllen. Weniger Papierkram, gleiche Prinzipien.
Art. 62–63 — Reallabore (Regulatory Sandboxes)	Jeder EU-Mitgliedstaat muss bis August 2026 mindestens ein Reallabor einrichten. KMU und Startups erhalten vorrangigen Zugang mit reduzierten oder erlassenen Gebühren.
Art. 11(2) — Vereinfachte Dokumentation	Die Kommission ist ermächtigt, ein vereinfachtes Format für die technische Dokumentation nach Anhang IV speziell für KMU und Startups zu erstellen.

Für ein typisches 5-Personen-Unternehmen, das ein DMS mit AI nutzt: Ihr gesamter Compliance-Aufwand besteht wahrscheinlich aus einer dokumentierten Sitzung zur AI-Kompetenz, einem AI-Funktionsinventar (eine Seite), einer Risikoklassifizierung (die meisten Funktionen haben ein minimales Risiko) und der Überprüfung, ob Ihr DMS-Anbieter die Transparenzkennzeichnung implementiert hat. Geschätzte direkte Kosten: null bis einige hundert Euro. Geschätzter Zeitaufwand: 10–15 Arbeitsstunden verteilt über einige Wochen. Das ist die ehrliche Realität für die meisten kleinen Unternehmen, die AI im Dokumentenmanagement einsetzen.

Wie Veluvanto bei der Einhaltung des EU AI Act hilft

Veluvanto wurde vom ersten Tag an unter Berücksichtigung der EU-regulatorischen Anforderungen entwickelt. Hier ist, was die Plattform bereits zur Einhaltung des AI Act beiträgt – ohne zusätzliche Konfiguration:

✓Offenlegung der AI-Interaktion: Jede AI-generierte Antwort im Chat von Veluvanto ist mit einem Funkeln-Icon gekennzeichnet, das deutlich auf AI-generierte Inhalte hinweist. Nutzer wissen immer, wann sie mit einer AI interagieren.
✓Audit-Protokoll: Alle AI-Aktionen – Dokumentenanalyse, Chat-Anfragen, Tag-Zuweisungen, Erstellung von Erinnerungen – werden mit Zeitstempel, Nutzer-ID und Aktionsdetails protokolliert. Dies erfüllt die Best-Practice-Protokollierung für Systeme mit begrenztem Risiko.
✓AI-Nutzungstracking: Nutzungsprotokolle pro Nutzer erfassen den Verbrauch von AI-Credits, das verwendete Modell und den Aktionstyp – dies bietet die detaillierte Protokollierung, die Rechenschaftspflichten unterstützt.
✓Datenstandort in der EU: Alle Daten werden in EU-Rechenzentren gespeichert und verarbeitet. Kein Flex-Routing, kein US-Fallback, keine Ausnahmen. Ihre Dokumente verlassen niemals die EU.
✓Nutzerkontrolle über AI-Aktionen: Nutzer können jede AI-generierte Klassifizierung, jeden Tag oder Metadaten jederzeit überprüfen, bearbeiten und überschreiben. Die AI arbeitet im Hintergrund, um Ihnen Zeit zu sparen, aber Sie behalten die Kontrolle über Ihre Dokumente.
✓Kein Training mit Ihren Daten: Veluvanto nutzt Kundendokumente niemals zum Trainieren von AI-Modellen. Ihre Daten werden ausschließlich zu Ihrem Vorteil verarbeitet.

Diese Funktionen machen die Compliance nicht automatisch – Sie müssen sich weiterhin um die Schulung zur AI-Kompetenz kümmern und Ihre eigene Dokumentation führen. Aber sie bedeuten, dass die Plattform, auf die Sie sich verlassen, bereits für das kommende regulatorische Umfeld gerüstet ist.

Quellen und weiterführende Literatur

Dieser Leitfaden stützt sich auf den offiziellen Text des EU AI Act und maßgebliche Analysen. Den vollständigen Text der Verordnung und die spezifischen referenzierten Artikel finden Sie in den unten stehenden Quellen.

Volltext des EU AI Act — Verordnung (EU) 2024/1689 — Amtsblatt der Europäischen Union (eur-lex.europa.eu)
Artikel 50 (Transparenzpflichten für Systeme mit begrenztem Risiko) — artificialintelligenceact.eu/article/50
Artikel 6 und Anhang III (Hochrisiko-Klassifizierung und Ausnahmen) — artificialintelligenceact.eu/article/6 und artificialintelligenceact.eu/annex/3
Q&A der EU-Kommission zur AI-Kompetenz — digital-strategy.ec.europa.eu
Digital Omnibus Act — Position des Europäischen Parlaments, angenommen am 26. März 2026 (europarl.europa.eu)
Artikel 99 (Sanktionen und Bestimmungen für KMU) — artificialintelligenceact.eu/article/99
Accountancy Europe KMU-Factsheet zum AI Act — accountancyeurope.eu

Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act auch für mein kleines Unternehmen?

Ja. Es gibt keine Ausnahme für kleine Unternehmen. Wenn Ihr Unternehmen AI nutzt – selbst über SaaS-Tools von Drittanbietern wie ein DMS –, gilt Artikel 4 (AI-Kompetenz). Die praktischen Auswirkungen für die meisten kleinen Unternehmen, die AI mit minimalem Risiko nutzen, sind gering: eine dokumentierte Schulungssitzung und ein internes AI-Inventar. Das Gesetz reguliert die Technologie, nicht die Größe des Unternehmens.

Gilt OCR unter dem EU AI Act als AI?

Das hängt von der Implementierung ab. Traditionelle, regelbasierte OCR (wie das einfache Tesseract) erfüllt möglicherweise nicht die Definition eines AI-Systems im Sinne des Gesetzes. Moderne OCR jedoch, die maschinelles Lernen für Layout-Analysen, Handschrifterkennung oder kontextbezogene Textextraktion nutzt, qualifiziert sich wahrscheinlich. Dennoch fällt OCR unter das minimale Risiko, ohne spezifische Verpflichtungen über die AI-Kompetenz hinaus.

Muss ich AI-generierte Zusammenfassungen in meinem DMS kennzeichnen?

Gemäß Artikel 50(2) ja – synthetische Texte müssen bis zum 2. August 2026 in einem maschinenlesbaren Format als AI-generiert gekennzeichnet werden. Es gibt eine Ausnahme für die „unterstützende Bearbeitung“, die die Eingabe nicht wesentlich verändert. Eine Zusammenfassung, die den Quellinhalt eng umschreibt, könnte unter diese Ausnahme fallen, eine eigenständige Analyse oder generierter Text jedoch nicht. Im Zweifelsfall: Kennzeichnen.

Was ist der Unterschied zwischen einem Anbieter (Provider) und einem Betreiber (Deployer)?

Ein Anbieter entwickelt ein AI-System oder bringt es auf den Markt (z. B. ein DMS-Anbieter wie Veluvanto). Ein Betreiber nutzt ein AI-System in einem beruflichen Kontext (z. B. ein Unternehmen, das ein DMS abonniert). Beide haben Pflichten unter dem AI Act, die sich jedoch unterscheiden: Anbieter müssen Compliance-Funktionen in das Produkt einbauen; Betreiber müssen das Produkt gemäß den Anweisungen des Anbieters nutzen, eine menschliche Aufsicht zuweisen und Protokolle führen.

Was passiert, wenn ich vor dem 2. August 2026 nichts unternehme?

Bezüglich der AI-Kompetenz (Artikel 4): Sie sind bereits seit Februar 2025 nicht mehr konform. Bezüglich der Transparenz (Artikel 50): Nach dem 2. August 2026 kann das Versäumnis, AI-Interaktionen offenzulegen oder AI-generierte Inhalte zu kennzeichnen, zu Bußgeldern von bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes führen (je nachdem, welcher Betrag höher ist; für KMU gilt der niedrigere Betrag). In der Praxis wird sich die Durchsetzung wahrscheinlich zuerst auf Hochrisiko- und prominente Fälle konzentrieren – aber da Compliance einfach und kostengünstig ist, gibt es keinen Grund zu warten.

Wird der Digital Omnibus Act diese Anforderungen verzögern?

Der Omnibus könnte die Hochrisiko-Verpflichtungen nach Anhang III verschieben (von August 2026 auf Dezember 2027), aber er wird die Transparenzpflichten nach Artikel 50, die AI-Kompetenz nach Artikel 4 oder die verbotenen Praktiken nach Artikel 5 NICHT verzögern. Dies sind die Verpflichtungen, die für Dokumentenmanagementsysteme am relevantesten sind. Selbst wenn der Omnibus verabschiedet wird, bleiben die Frist vom 2. August 2026 für Transparenz und die Frist vom Februar 2025 für Kompetenz unverändert.